Oltalama (Phishing) Yöntemi – Twitter Örneği

twitter dolandırıcılık

dolandırıcılık yöntemleri

Twitter dolandırıcılık yöntemleri

Dolandırıcılık Yöntemleri hakkında bilgi paylaşımı yaptığımız twitter hesabımızı açtıktan sonra, sadece bir hafta içerisinde, bir sanal dolandırıcılık yöntemi olan “oltalama yöntemi” için örnek teşkil eden 3 adet mesaj aldık.

Günümüzde özellikle sosyal medya üzerinden gönderilen bu mesajlar, çok basitmiş gibi görünseler de insanların başını oldukça ağrıtmaya devam ediyor.

Nedir bu oltalama yöntemi?

Oltalama yöntemi en basit anlatımıyla, kimlik bilgileri, şifreler, kredi kartı bilgileri gibi gizli bilgileri öğrenmek amacıyla, sizi sahte websitelerine yönlendiren bir dolandırıcılık yöntemidir.

Bize gelen mesajlar üzerinden örnek verelim;

dolandırıcılık yöntemleri oltalama
Bana cevap vermedi ne yazık ki, ama verenler de oldu 🙂

“Twltter584894” isimli bir hesap açan dolandırıcı, twitter.com tarafından gönderilmiş gibi görünen bu mesajı göndermiş. Aslında sadece bizim gibi normal bir twitter kullanıcısından başka bir şey değil.

Ancak insanlar bu mesajı gördüklerinde hesaplarının tehlikede olduğunu düşünerek çoğu zaman mesajda görülen linke tıklıyor.

Peki link nereye gidiyor?

Başta belirttiğimiz gibi, aslında kısaltılmış olan bu link bizi, aynı “twitter.com” muş gibi görünen, ama gerçekte sahte bir site olan “tvitter-login.ml” adresine götürüyor. Genelde bu tarz sahte sitelerin adresleri de gerçeğine oldukça benzetilmeye çalışır.

“twitter.com” yerine “tvvitter.com”(W yerine iki adet V) ya da “twittter.com” (2 adet yerine 3 adet T harfi) gibi gerçeğine oldukça benzeyen bu sahte sitelerde genelde size mesajda belirtildiği üzere doğrulama yapmanız için kullanıcı adı ve şifreniz sorulur.

dolandırıcı twitter oltalama phishing
bize gönderilen twitter.com benzeri tvitter-login.ml adresi

Eğer bu sahte siteye kullanıcı adı ve şifrenizi girerseniz, direkt olarak dolandırıcımızın eline geçecektir. Eğer hesabınız telefonla doğrulama gibi bir yöntemle korunmuyorsa, hesabınıza elveda diyebilirsiniz.

İşin daha başka, daha kötü bir boyutu daha var. İnsanlar genelde internet üzerinde kayıt oldukları sitelerde aynı şifreleri kullandıklarından, dolandırıcılar bir kez şifrenizi öğrendikten sonra, facebook ya da youtube hesabınız gibi diğer hesaplarınızın da şifrelerini ele geçirmiş olacaklardır.

dolandıcılık yöntemleri twitter
Bu cevap verenlerden, daha önce bu yöntemle kandırılmış ve şimdi kendi deniyor 🙂

Eğer hesaplarınızın güvenliğini, cep telefonu ile doğrulama gibi güçlü bir seçenekle sağlamıyor, sadece mail doğrulaması yoluyla sağlıyorsanız, mail hesabınız ele geçirildiğinde, o mail adresi ile kayıt olduğunuz her şeye elveda diyebilirsiniz.

Orijinal ismi “phishing” olan bu yöntem aslında sadece twitter ya da facebook gibi sosyal medya siteleri üzerinden uygulanan bir yöntem değil. Aslında ilk phishing saldırısı, o zamanların facebook ya da twitter’ ı diyebileceğimiz “America Online” websitesinin ismi kullanılarak, mail yoluyla gerçekleşti.

2004 yılında yaşanan bu olayda California’ lı genç bir çocuk, “AOL” olarak bilebileceğiniz “America Online” websitesinin sahte bir versiyonunu yaparak, onlarca insanın kredi kartı bilgilerini ele geçirmiş ve kredi kartlarından kendine para transfer etmişti.

Her ne kadar günümüzde google ya da microsoft gibi mail servisi sağlayıcıları, sahte websitelerine yönlendiren epostaları engellemeye çalışsa da, sanki bankadan gelmiş görünen ve belirli bir yere para göndermeniz gerektiğini bildiren ya da banka giriş bilgileriniz girmeniz istenen sahte epostalar hala gönderilmeye devam ediyor.

ysleyman
Bu ise ysleyman isimli kendi hesabını kullanıyor.

Aynı twitter örneğinde olduğu gibi, “Hesabınızdan 1000 ₺ para çekildi. Bu işlemi siz yapmadıysanız lütfen şu adrese girerek itiraz ediniz” gibi insanları endişeye düşündüren mesajlar, sadece email yolu ile değil, kısa mesajlar, whatsapp gibi yollardan da insanlara gönderilerek, kişisel bilgilerin çalınması hala oldukça popüler bir yöntem.

Oltalama yöntemi bununla da bitmiyor, 2017 yılında piyasaya çıkan bir yöntemde dolandırıcılar, kurbanları arayarak “Sesim geliyor mu? Beni duyabiliyor musun?” diye soruyor ve “Evet” cevabını vermenizi bekliyorlardı. Eğer “Evet” diye cevaplarsanız sesinizi kaydederek, başka bir yerde (örnek telefon bankacılığı) ses kaydınızı kullanarak hesaplarınızdan para çekiyor, ya da sanki bir ürün almayı onaylamışsınız gibi size fatura kesiyorlardı.

Başka bir yöntemde ise dolandırıcılar facebook vb. sitelerde bir arkadaşınızın sayfasını kopyalayıp size “Hesabım çalındı ve facebook bir arkadaşımın beni tanıyıp tanımadığını onaylamasını istedi. Birazdan sana mesaj gelecek lütfen evet yazarak cevapla” diyerek size kısa mesaj gönderiyor, “evet” yazmanız halinde ise istemediğiniz bir ürünü size satmış oluyordu.

İnternet üzerinde, özellikle sosyal medya hesaplarınıza gelen mesajlar ve bankadan gelmiş gibi görünen maillere oldukça dikkat edin.

Sakınma

Bu tarz yöntemlere karşı ilk yapmanız gereken kendinizi eğitmektir. Bilişim Güvenliği Derneği (https://www.bg.org.tr/) gibi kurumlar yoluyla kendini eğitmeli ve bu yöntemler hakkında bilgi sahibi olmalısınız.

Hiçbir banka, banka çalışanı ya da internet sitesi asla sizden şifrenizi, kullanıcı adınızı ya da özel bilgilerinizi göndermenizi istemez. Sizden telefonla ya da internet üzerinde bilgi isteyen hiçbir insana özel bilgilerinizi söylemeyin!

İnternet sitelerinde kullandığınız şifreleri doğum tarihiniz, eşinizin ismi vb. gibi kolayca tahmin edilebilecek şekilde seçmeyin. Olabildiğince her sitede farklı şifre kullanmaya özen gösterin ve kayıt olduğunuz siteleri, “2 adımlı kimlik doğrulaması” olarak bilinen, cep telefonunuza gönderilen bir kodla giriş yaptığınız şekilde kullanın.

Özellikle Email şifrenizi diğer şifrelerinizden, farklı seçtiğinizden emin olun.

Banka hesabınızdan para çekildiğine ya da kredi kartınızdan harcama yapıldığına dair bir mesaj ya da mail alırsanız linklere tıklamak yerine bizzat bankanızı arayarak durumu öğrenin.

Sosyal medya üzerinden mesaj şeklinde gelen “hesabınıza giriş yapıldı” ya da “hesabınız çalındı” gibi uyarıları dikkate almayın.

Girdiğiniz internet site adresini doğru yazdığınızdan emin olun.

Özellikle kısaltılmış ( bit.ly,ow.ly, tinyurl.com, is.gd, goo.gl, vb. ) linklere asla tıklamayın!

Bu tarz dolandırıcılık yöntemleri ile karşılaştığınızda, başkalarının da tuzağa düşmemesi için “Bilişim Güvenliği Derneği” gibi kurumlara ya da bize olayı bildirerek, insanlara yardımcı olabilirsiniz.

Diğer dolandırıcılık yöntemleri için buraya tıklayabilirsiniz.

Paylaş!

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir